2020-2295: Oracle MySQL: Mehrere Schwachstellen ermöglichen u. a. die vollständige Kompromittierung des Systems

Historie:

Version 1 (2020-10-21 17:12)

Neues Advisory

Version 2 (2020-10-29 14:26)

Für Fedora 31, 32 und 33 sowie Fedora 31 Modular, 32 Modular und 33 Modular stehen Sicherheitsupdates auf das MySQL Release 8.0.22 im Status 'testing' bereit.

Version 3 (2020-12-10 15:30)

Canonical hat für Ubuntu 20.04 LTS ein Sicherheitsupdate für 'mysql-8.0' bereitgestellt.

Betroffene Software

Entwicklung
Server
Sicherheit

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen in verschiedenen Komponenten der Oracle Produkte MySQL Server, MySQL Cluster, MySQL Workbench und MySQL Enterprise Monitor ermöglichen einem entfernten Angreifer, der teilweise mit üblichen oder erweiterten Benutzerrechten ausgestattet sein muss, die komplette Kompromittierung der Software, das Durchführen von Denial-of-Service (DoS)-Angriffen, die Manipulation von Dateien und das Ausspähen von Informationen. Eine der Schwachstellen erfordert die Interaktion eines Benutzers. Eine weitere Schwachstelle ermöglicht einem Angreifer mit üblichen Benutzerrechten im benachbarten Netzwerk ebenfalls die komplette Kompromittierung der Software.

Oracle veröffentlicht anlässlich des Patchtages im Oktober 2020 Updates zur Behebung der Schwachstellen für die unterstützten Oracle Produkte MySQL Server auf die Versionen 5.6.50, 5.7.32 und 8.0.22, MySQL Cluster auf die Versionen 7.3.31, 7.4.30, 7.5.20, 7.6.16 und 8.0.22, MySQL Workbench auf die Version 8.0.22 und MySQL Enterprise Monitor auf die Version 8.0.22.

Weiterhin informiert Oracle darüber, dass mit dem Patch für die Schwachstelle CVE-2020-13935 auch die Schwachstellen CVE-2020-11996, CVE-2020-13934 und CVE-2020-9484 und mit dem Patch für CVE-2020-8174 auch die Schwachstellen CVE-2020-11080 und CVE-2020-8172 adressiert werden. Des weiteren wird die im Kontext von Oracle MySQL Cluster nicht ausnutzbare Schwachstelle CVE-2020-4051 behoben.

Schwachstellen:

CVE-2020-13935

Schwachstelle in Apache Tomcat ermöglicht Denial-of-Service-Angriff

CVE-2020-14672

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2020-14760

Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-14765

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2020-14769

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2020-14771

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2020-14773 CVE-2020-14777 CVE-2020-14785 CVE-2020-14794 CVE-2020-14809 CVE-2020-14837 CVE-2020-14839

Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-Angriffe

CVE-2020-14775

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2020-14776

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2020-14786 CVE-2020-14844

Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-Angriffe

CVE-2020-14789

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2020-14790

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2020-14791

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2020-14793

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2020-14799

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2020-14800

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2020-14804

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2020-14812

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2020-14814

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2020-14821 CVE-2020-14829 CVE-2020-14848

Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-Angriffe

CVE-2020-14827

Schwachstelle in Oracle MySQL ermöglicht Ausspähen von Informationen

CVE-2020-14828

Schwachstelle in Oracle MySQL ermöglicht komplette Kompromittierung der Software

CVE-2020-14830 CVE-2020-14836 CVE-2020-14846

Schwachstellen in Oracle MySQL ermöglichen Denial-of-Service-Angriffe

CVE-2020-14838

Schwachstelle in Oracle MySQL ermöglicht Ausspähen von Informationen

CVE-2020-14845 CVE-2020-14861 CVE-2020-14866 CVE-2020-14868 CVE-2020-14888 CVE-2020-14891 CVE-2020-14893

Schwachstellen in Oracle MySQL ermöglicht Denial-of-Service-Angriffe

CVE-2020-14852

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2020-14853

Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-14860

Schwachstelle in Oracle MySQL ermöglicht Manipulation von Daten

CVE-2020-14867

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2020-14869

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2020-14870

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2020-14873

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2020-14878

Schwachstelle in Oracle MySQL ermöglicht komplette Kompromittierung der Software

CVE-2020-1730

Schwachstelle in libssh ermöglicht Denial-of-Servie-Angriff

CVE-2020-1967

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2020-4051

Schwachstelle in Dijit ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-8174

Schwachstelle in Node.js ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.